Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- sensible_daten_im_internet [2020/03/05 18:49] – feuerstein
+++ sensible_daten_im_internet [2020/03/11 08:53] (aktuell) – feuerstein
@@ Zeile 1: / Zeile 1: @@
-** Übermittlung sensibeler Daten im Internet **
+====Umgang mit sensiblen Daten im Internet====
 Bitte bedenken Sie stets, dass die Übertragung von Daten im Internet in der Regel unverschlüsselt erfolgt und es weder Authentizitäts- noch Integritätsprüfungen gibt, dass also jeder, der über entsprechendes Know-how verfügt, Daten abhören und verfälschen kann.
-Die Übermittlung sensibeler Daten (E-Mails mit Passwörtern, Upload von Klausurergebnissen an das Prüfungsamt etc.) sollte daher stets über entsprechend gesicherte Kanäle erfolgen:
+Die **Übermittlung sensibeler Daten** (E-Mails mit Passwörtern, Upload von Klausurergebnissen an das Prüfungsamt etc.) sollte daher stets über entsprechend [[sichere Kanäle|gesicherte Kanäle]] erfolgen:
-Für die Wahrung von Authentizität und Integrität (etwa bei der Übermittlung von Prüfungsergebnissen an Prüfungsämter) ist es - insb. auch wegen der rechtlichen Relevanz - empfehlenswert, die Daten zusätzlich in gedruckter Form per Hauspost zu verschicken.
-Bei der Mitteilung von Authentifikationsdaten (Benutzername und Passwort) sollten zwei unterschiedliche Übermittlungswege gewählt werden (z.B. Benutzername per E-Mail, Passwort per Telefon).
   * Sichere Webseiten: http**s**
   * Ende-zu-Ende-verschlüsselte und signierte E-Mail: S/MIME, PGP/MIME, GPG
   * Sicheres Abrufen und Versenden von E-Mail durch Transportverschlüsselung per TLS/SSL: ESMTP, IMAPS
-** Umgang mit Studierendendaten **
+Für die Wahrung von Authentizität und Integrität (etwa bei der Übermittlung von Prüfungsergebnissen an Prüfungsämter) ist es - insb. auch wegen der rechtlichen Relevanz - empfehlenswert, die Daten zusätzlich in gedruckter Form per Hauspost zu verschicken.
+Bei der Mitteilung von Authentifikationsdaten (Benutzername und Passwort) sollten zwei unterschiedliche Übermittlungswege gewählt werden (z.B. Benutzername per E-Mail, Passwort per Telefon).
-Im Gegensatz zu den Mitarbeitern der Universität, die zur Veröffentlichung von funktionsspezifischen Daten (z.B. dienstliche Kontaktdaten) verpflichtet sind, dürfen personenbezogene Daten von Studierenden nur dann veröffentlicht werden, wenn Einwilligungen der entsprechenden Personen vorliegen.
+Im Gegensatz zu den Mitarbeitern der Universität, die zur Veröffentlichung von funktionsspezifischen Daten (z.B. dienstliche Kontaktdaten) verpflichtet sind, dürfen **personenbezogene Daten von Studierenden** nur dann veröffentlicht werden, wenn [[einwilligung|Einwilligungen]] der entsprechenden Personen vorliegen.
 Nach Möglichkeit sollten keinerlei personenbezogene Daten von Studierenden frei im WWW verfügbar sein. So sollte z.B. eine Liste von E-Mail-Adressen zur Kontaktierung der Studierenden durch den Lehrkörper nur von den Rechnern der betreffenden Lehrenden erreichbar sein. Dies gilt auch für E-Mails an Gruppen von Studierenden, bei denen grundsätzlich keine offene Adressierung zu wählen ist sondern der Weg über eingeschränkt erreichbare Verteilerlisten oder die Adressierung via BCC (blind carbon copy).
@@ Zeile 33: / Zeile 30: @@
   * Prüfungsergebnisse dürfen nur so lange im Netz verfügbar sein wie erforderlich, üblicherweise maximal vier Wochen. Anschließend müssen nicht nur Links entfernt werden, sondern auch die Ergebnislisten selbst.
-Im Fall von **Anfragen externer Personen** (Vermieter, Eltern, Kommilitonen, ...) oder Einrichtungen (Krankenkassen, BAföG-Stellen, ...) , die zum Ziel haben, dass personenbezogene Daten weitergegeben oder zum Abruf bereitgehalten werden sollen (d.h. eine Übermittlung der Daten wünschen) ist grundsätzlich
+Im Fall von **Anfragen externer Personen** (Vermieter, Eltern, Kommilitonen, ...) oder Einrichtungen (Krankenkassen, BAföG-Stellen, ...) , die zum Ziel haben, dass personenbezogene Daten weitergegeben oder zum Abruf bereitgehalten werden sollen (d.h. eine Übermittlung der Daten wünschen) ist grundsätzlich eine Identifikation des/der Anfragenden (i.A. in Schriftform) sowie die Prüfung der Zulässigkeit (die Einwilligung des Betroffenen oder eine entsprechende Rechtsvorschrift, auf die der/die Anfragende explizit verweisen muss) erforderlich. Bitte beachten Sie, dass eine Berufung auf "Amtshilfe" keine ausreichende Rechtsgrundlage für eine Datenübermittlung darstellt!
-  * eine Identifikation des/der Anfragenden (i.A. in Schriftform) sowie
-  * die Prüfung der Zulässigkeit (die Einwilligung des Betroffenen oder eine entsprechende Rechtsvorschrift, auf die der/die Anfragende explizit verweisen muss) erforderlich. Bitte beachten Sie, dass eine Berufung auf "Amtshilfe" keine ausreichende Rechtsgrundlage für eine Datenübermittlung darstellt!